понедельник, 20 июня 2011 г.

Способы организации личного защищенного хранилища

В качестве защищенного хранения информации можно использовать Аладдиновские токен-флешки eToken NG-FLASH (Java). Эти устройства представляют собой два в одном: обычный токен и флешку. Заявленные производителем размеры встроенной флеш-памяти от 4 до 16 Гб.
 

 Для использования нужно проделать ряд несложных манипуляций:
-        Установить драйвер и ПО – eToken Properties.
-        Установить пароль для защиты ключа шифрования и соответственно данных.
-        Пользоваться.

Для использования защищенным хранилищем нужно лишь подключить токен и смонтировать защищенное хранилище, введя пароль  для доступа к ключу шифрования.

Преимущества решения:
-        Единственное устройство.
-        В полной мере реализуется принцип двухфакторной аутентификации.
-        Программное решение бесплатно.

Недостатки решения:
-        Ключ шифрования хранится на том же устройстве, где и данные.
-        Решение только под ОС Windows.
-        Цена на токен явно завышена.

Замечания:
-        Токен заметно греется.
-        Внешний вид токена устрашающий.

Если приобрести такой токен нет желания или возможности, можно воспользоваться обычным токеном и обычной флешкой в связке с CПО TrueCrypt.
 Для использования нужно проделать:
-        Установить драйвер и ПО – eToken Properties.
-        Установить СПО – TrueCrypt.
-        Сгенерировать ключ шифрования и импортировать его в токен.
-        Создать криптодиск или криптоконтейнер.
-        Пользоваться.

Для использования защищенным хранилищем нужно подключить токен, флешку и смонтировать защищенное хранилище, введя ПИН-код токена и дополнительный пароль  для доступа к защищенному хранилищу.

Преимущества решения:
-        В полной мере реализуется принцип двухфакторной аутентификации.
-        Ключ шифрования и данные хранятся раздельно.
-        Программное решение бесплатно.
-        Кроссплатформенность.
-        Низкая стоимость решения.

Недостатки решения:
-       Нужно использовать 2 устройства и 2 свободных USB-порта.

Выводы:
С точки зрения личного использования мне больше нравится первое решение, однако, если вы часто используете Linux, то вам подойдет только второе решение.

понедельник, 13 июня 2011 г.

Риски использования криптокалькуляторов

Некоторые банки для защиты своих систем ДБО от мошеннических действий в качестве строгой аутентификации предлагают своим клиентам использовать криптокалькуляторы (КК).



Следующие банки, используют эту технологию:
  • Номос-Банк
  • Московский индустриальный банк
  • Липецккомбанк
  • КредитУралБанк
  • Банк Приморье
КК – устройство, похожее на обычный калькулятор, в которое вставляется чипованная банковская карта и после ввода ПИН-кода выдается одноразовый цифровой пароль.
Каждому клиенту выдается (продается) устройство, которое и используется им для управления своим счетом.
Одноразовые пароли могут генерироваться следующими способами:
  • только ответ
  • запрос-ответ
  • по времени
  • по событию
  • любыми вышеперечисленными комбинациями
Первые два способа это наши случаи для входа в Клиент-Банк и для подтверждения платежей соответственно. Предположу, что в случае с КК коды вырабатываются следующим образом:
  • Код_аутентификации=Усечение(Функция(Номер_карты, Номер_попытки))
  • Код_подтверждения=Усечение(Функция(Номер_карты,Код_запроса, Номер_попытки))
Код аутентификации это код, подтверждающий существование клиента системы, код подтверждения это вариация для последующей ЭЦП.
Номер_карты вместе с ПИН-кодом преобразуется по известному алгоритму в хэш.
Номер_попытки это счетчик от 0 до N, после замены элемента питания опять 0. Допустим, генерация возможна до 1 000 000 попыток, далее, скорее всего, КК будет выброшен как устаревший. Всё равно у него срок эксплуатации, скажем, 5 лет.
Используемые алгоритмы на стороне сервера аутентификации и в КК криптографические, основанные на HMAC с урезкой до нужного числа знаков и само собой одинаковые.

Плюсы:
  • В персональный компьютер, сеть, удаленную систему никогда не уходит постоянный пароль клиента.
  • Психологический, т.к. самая совершенная на сегодня защита.

Минусы:
  • Неудобство использования - нужно генерировать код для каждой транзакции.
  • Неудобство использования -  зависимость от «лишнего» устройства.
  • Дополнительные затраты на приобретение КК.

Риски:
  • Возможность атаки MitM. Чтобы парировать риски:
- должна быть доверенная среда, т.е. ОС, права доступа, антивирус и т.д., что не всегда возможно.
- должен быть доверенный канал связи и его шифрование, что также не всегда возможно.
  • Нет привязки КК к конкретному клиенту, а значит можно использовать любой КК, а не только выданный банком. Не является полностью риском,  парировать его нельзя в виду технологической особенности процесса.

Альтернативные, но более «слабые» технологии:
  • OTP-токены
  • Скретч-карты или чеки
  • Пароли по SMS
  • Виртуальные клавиатуры

Выводы:
На текущий момент времени КК предоставляют клиенту наиболее совершенную защиту при проведении платежей через систему Клиент-Банк.

понедельник, 6 июня 2011 г.

Про захист персональних даних УКРАЇНИ

Буду мелким шрифтом выписывать выдержки из украинского закона о персональных данных, а крупным свои комментарии от лица специалиста из России.

Идея прокомментировать закон появилась после прочтения ветки на форуме Банкира. Текст закона был скачен с сайта Верховной Рады Украины. Переведен закон был автоматически сервисом Google.

Закон был подписан Януковичем 1 июня 2010 г., вступил в силу через полгода с 1 января 2011 г., и вот-вот заканчиваются отведенные еще полгода на «продолжение банкета».

2. Кабинету Министров Украины в течение шести месяцев со дня вступления в силу настоящего Закона:
обеспечить принятие нормативно-правовых актов, предусмотренных этим Законом;
обеспечить приведение своих нормативно-правовых актов в соответствие с настоящим Законом.

Итак, интересны категории, которые выводятся из действия закона. Журналистов и творческих работников в Украине оставили в покое.

Действие настоящего Закона не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах:
физическим лицом - исключительно для непрофессиональных личных или бытовых нужд;
журналистом - в связи с исполнением им служебных или профессиональных обязанностей;
профессиональным творческим работником - для осуществления творческой деятельности.

Красной нитью на протяжении всего текста проходит защита баз персональных данных. Это и понятно: все ПДн можно свести к БД, которые и надлежит защищать.

Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базы персональных данных;

Хорошо сказано про согласие. Из текста явно следует, что, достаточно электронного согласия, лишь бы оно было документировано. Значит можно использовать ЭЦП.

согласие субъекта персональных данных - любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки;

Выводятся из под защиты ПДн разных важных политиков, если где-то в недрах Украины не говорится обратное. Сдается мне, что говорится, так как наследие единого и могучего СССР никто не отменял.

4. Персональные данные физического лица, претендующего занять или занимает выборную должность (в представительских органах) или должность государственного служащего первой категории, не относятся к информации с ограниченным доступом, за исключением информации, предусмотренной такой соответствии с законом.

Сразу становится понятным, откуда появляются на свет персональные данные. А то было не понятно, что это паспорт и все прочие документы, Вот лучше бы сделали список того, что является ПДн, а что таковыми не является.

4. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные ею документы; сведения, которые лицо предоставляет о себе.

Больше не нужно гадать о том, можно ли обрабатывать ПДн, например, в случаях когда получить такое согласие временно или постоянно невозможно.

7. Если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.

И далее об этом же, но с другой стороны и конкретизируя.

2. Положения части первой настоящей статьи не применяется, если обработка персональных данных:
6) необходима в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения

Как я уже говорил, весь закон заточен под обработку ПДн, содержащихся в базах данных. Базы данных с ПДн в том или ином виде есть у любой организации. Очень радует то, что в Украине достаточно лишь регистрации таковых баз (по крайней мере, на текущем этапе в 2011 году). Причем, судя по тексту, никакой мороки для организаций.

Статья 9. Регистрация баз персональных данных
1. База персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Положение о Государственном реестре баз персональных данных и порядок его ведения утверждаются Кабинетом Министров Украины.
2. Регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения.
4. Уполномоченный государственный орган по вопросам защиты персональных данных в порядке, утвержденном Кабинетом Министров Украины:
сообщает заявителю не позднее следующего рабочего дня со дня поступления заявления о ее получении;
принимает решение о регистрации базы персональных данных в течение десяти рабочих дней со дня поступления заявления.
Владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных.

А вот и главные слова о защите ПДн. Как и у нас в законе без какой-либо конкретики. Единственное это контроль доступа и обеспечение целостности ПДн.

2. Использование персональных данных владельцем базы осуществляется в случае создания им условий для защиты этих данных.

2. Хранение персональных данных предполагает действия по обеспечению их целостности и соответствующего режима доступа к ним.

Обнаружена интересная фразочка, согласно которой то, что личное никак не может повредить рабочему.

4. Сведения о личной жизни физического лица не могут использоваться как фактор, подтверждает или опровергает ее деловые качества.

Согласно российским реалиям основания для обработки ПДн возникают по причине их наличия. В Украине же говорится несколько иначе: после согласия и разрешения.

1. Основаниями возникновения права на использование персональных данных являются:
1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при согласии внести оговорку об ограничении права на обработку своих персональных данных;
2) разрешение на обработку персональных данных, предоставленный владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.

Очень интересная мысль, что за доступ, обработку и консалтинг в части ПДн можно брать деньги. Действительно, всё гениальное просто Осталось кому-то на этом федеральном постулате построить бизнес. Несколько омрачает факт, что ценники будут регулироваться свыше. Привожу статью 19 целиком.

Статья 19. Оплата доступа к персональным данным
1. Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно.
2. Доступ других субъектов отношений, связанных с персональными данными, к персональным данным определенного физического лица или группы физических лиц может быть платным в случае соблюдения условий, определенных настоящим Законом. Оплате подлежит работа, связанная с обработкой персональных данных, а также работа по консультированию и организации доступа к соответствующим данным.
3. Размер платы за услуги по предоставлению доступа к персональным данным органами государственной власти определяется Кабинетом Министров Украины.
4. Органы государственной власти и органы местного самоуправления имеют право на беспрепятственный и бесплатный доступ к персональным данным соответствии с их полномочиями.

Контролем всех этих мероприятий по защите ПДн, как говорилось выше, будет заниматься специальный украинский орган, кстати, пока не понятно какой. Этому органу посвящена отдельная статья закона.

Статья 23. Уполномоченный государственный орган по вопросам защиты персональных данных

2. Уполномоченный государственный орган по вопросам защиты персональных данных:
1) обеспечивает реализацию государственной политики в сфере защиты персональных данных;
2) регистрирует базы персональных данных;
3) ведет Государственный реестр баз персональных данных;


Не менее странная статья, посвященная финансированию работ. Если читать текст в лоб, повторюсь на счет метода перевода закона, то бизнесу не придется потратить и копейки, т.к. субъектами отношений являются не только операторы ПДн, но и непосредственно те, кому эти ПДн принадлежат.

Статья 26. Финансирование работ по защите персональных данных
Финансирование работ и мероприятий по обеспечению защиты персональных данных осуществляется за счет средств Государственного бюджета Украины и местных бюджетов, средств субъектов отношений, связанных с персональными данными.

В заключении остается посоветовать нашим украинским коллегам работать, следить за обстановкой в части своего законодательства по ПДн и еще раз работать.